Veiligheid
U kunt kwetsbaarheden in onze diensten melden. Voorbeelden zijn:
- Cross-Site Scripting (XSS) kwetsbaarheden.
- SQL injectie kwetsbaarheden.
- Zwakheden in inrichting beveiligde verbinding.
- Wilt u het gevonden probleem zo duidelijk en compleet mogelijk toelichten?
Achmea kan, indien het gaat om een kwetsbaarheid met een laag of geaccepteerd risico, besluiten een melding niet te belonen. Hieronder staan enkele voorbeelden van dergelijke kwetsbaarheden.
- HTTP 404-codes of andere niet HTTP 200-codes
- Toevoegen van platte tekst in 404-pagina’s
- Versiebanners op publieke services
- Publiek toegankelijke bestanden en mappen met niet-gevoelige informatie
- Clickjacking op pagina’s zonder inlogfunctie
- Cross-site request forgery (CSRF) op formulieren die anoniem toegankelijk zijn
- Ontbreken van ‘secure’ / ‘HTTP Only’ vlaggen op niet-gevoelige cookies
- Gebruik van de HTTP OPTIONS Method
- Host Header Injection
- Ontbreken van SPF, DKIM en DMARC records
- Ontbreken van DNSSEC
- Ontbreken van één of meerdere van de volgende HTTP Security Headers:
- Strict-Transport-Security (HSTS)
- HTTP Public Key Pinning (HPKP)
- Content-Security-Policy (CSP)
- X-Content-Type-Options
- X-Frame-Options
- X-WebKit-CSP
- X-XSS-Protection
Wij vragen u het probleem alleen met de experts van Achmea te delen en het probleem niet openbaar te maken. Zo houden we de gegevens van onze klanten veilig. Fijn als u ons de tijd geeft het probleem op te lossen.
Bij uw onderzoek van de gevonden kwetsbaarheid mag u de programma’s niet beschadigen. U mag geen gegevens delen met anderen dan Achmea. Verder mag de dienstverlening nooit opzettelijk onderbroken worden door uw onderzoek.
Misschien doet u bij uw onderzoek iets wat volgens de wet niet mag. Als u daarbij te goeder trouw, zorgvuldig en volgens onderstaande spelregels handelt, doen wij geen aangifte.
Wij vragen u:
- bij de melding duidelijk te onderbouwen hoe het beveiligingsprobleem kan worden misbruikt. Maak hierbij bijvoorbeeld
- gebruik van screenshots of een stap-voor-stap uitleg.
- geen social engineering te gebruiken om toegang te krijgen tot onze systemen.
- geen backdoor in een informatiesysteem te plaatsen om de zwakke plek te laten zien.
- alleen te doen wat strikt noodzakelijk is om de kwetsbaarheid aan te tonen.
- geen gegevens te kopiëren, te wijzigen of te verwijderen. Stuur ons alleen (minimale) gegevens die u nodig heeft om het probleem aan te tonen. Maak bijvoorbeeld een directory listing of screenshot.
- pogingen om toegang tot het systeem te krijgen te beperken, en gegevens over verkregen toegang niet te delen met anderen.
- geen zogenaamde ‘bruteforce attacks’ te gebruiken om in onze systemen te komen.
- één beveiligingsprobleem per melding in te dienen.
- te reageren indien wij extra informatie over de ingediende melding nodig hebben, neem nooit rechtstreeks of via andere kanalen dan het formulier contact op met medewerkers van Achmea.
- Na ontvangst van uw melding via het webformulier, krijgt u van ons een automatische ontvangstbevestiging. U hoort binnen 3 werkdagen wat wij met uw melding doen.
- Is het een serieus beveiligingsprobleem? Dan krijgt u van ons als dank voor de melding een passende beloning. De beloning bepalen we op basis van het risico en de impact van het beveiligingsprobleem en kan variëren van een T-shirt tot maximaal een bedrag van 300 euro aan cadeaubonnen. Let op: het moet hier wel gaan om een onbekend en serieus beveiligingsprobleem.
- Wij gebruiken uw contactgegevens alleen om met u over de melding te communiceren. Wij delen deze niet met anderen. Behalve als we dit wettelijk moeten. Bijvoorbeeld als justitie ons dit vraagt. Of als wij uw actie zien
Als u anoniem hebt gemeld, kunnen wij u niet op de hoogte houden. Ook kunnen wij u dan geen beloning geven.
Deze Responsible Disclosure regeling is niet bedoeld voor het melden van klachten. Ook is de regeling niet bedoeld voor:
- het melden dat de website niet beschikbaar is.
- het melden van fraude.
- het melden van nep e-mails (phishing e-mails).
- het melden van virussen.
- Op basis van het risico van het gemelde beveiligingsprobleem stelt Achmea de beloning vast. Let op: indien de melding geen beveiligingsprobleem betreft of een laag risico vormt kan het zijn dat er geen beloning wordt toegekend.
- Wanneer er dubbele meldingen worden ontvangen over een specifiek beveiligingsprobleem wordt de beloning toegekend aan de eerste persoon die dit beveiligingsprobleem rapporteert. Achmea stelt vast of er sprake is van een dubbele melding en deelt geen inhoudelijke gegevens over de desbetreffende meldingen.
- Een toegekende beloning wordt slechts aan één persoon verstrekt.
Indien een beloning is toegekend publiceren we, in overleg met en na goedkeuring van de melder, de naam van de melder in een Hall of Fame op achmea.nl. We behouden ons het recht om de informatie in de lijst te beperken. - We proberen gelijke beloningen toe te kennen voor vergelijkbare beveiligingsproblemen. De beloningen en de in aanmerking komende beveiligingsproblemen kunnen echter wijzigen. Toegekende beloningen uit het verleden bieden geen garantie voor vergelijkbare resultaten in de toekomst.
De volgende merken vallen onder dit programma:
- Achmea
- Avéro Achmea
- Centraal Beheer
- De Friesland Zorgverzekeraar
- Eurocross
- FBTO
- Interpolis
- ProLife
- Woonfonds
- Zilveren Kruis
De volgende dochterbedrijven vallen onder dit programma:
- Achmea Australia
- Eureko Sigorta
- Interamerican
- Onlia
- Union
De volgende initiatieven vallen onder dit programma:
- Actify
- Automodus
- RoadGuard